Protobuf
Уязвимости
12
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.05064
Распределение по критичности
Критический
0
Высокий
8
Средний
4
Низкий
0
Также сопоставлено как (исходные строки): protobuf
Топ уязвимостей
CVE-2015-5237protobuf позволяет удаленным аутентифицированным злоумышленникам вызвать переполнение буфера на основе кучи.
CVE-2024-7254Любой проект, который анализирует ненадежные данные Protocol Buffers, содержащие произвольное количество вложенных групп / серий тегов SGROUP, может быть поврежден из-за превышения лимита стека, т. е. StackOverflow. Анализ вложенных групп как неизвестных полей с помощью DiscardUnknownFieldsParser или Java Protobuf Lite parser, или против полей Protobuf map, создает неограниченные рекурсии, которые могут быть использованы злоумышленником.
CVE-2026-0994Уязвимость типа «отказ в обслуживании» (DoS) существует в google.protobuf.json_format.ParseDict() в Python, где ограничение глубины max_recursion_ может быть обойдено при парсинге вложенных google.protobuf.Any messages.
Из-за отсутствующего учета глубины рекурсии внутри внутренней логики Любого обращения злоумышленник может обеспечить глубоко вложенные любые структуры, которые обходят предполагаемый предел рекурсии, в конечном итоге исчерпав стек рекурсии Python и вызывая RecursionError.
CVE-2025-4565Любой проект, который использует бэкэнд Protobuf Pure-Python для разбора ненадежных данных Protocol Buffers, содержащих произвольное количество рекурсивных групп, рекурсивных сообщений или серию тегов SGROUP, может быть поврежден путем превышения лимита рекурсии Python. Это может привести к отказу в обслуживании, разбив приложение с помощью RecursionError. Мы рекомендуем обновить до версии =>6.31.1 или выше выполнить 17838beda2943d08b8d4df5f5f5f04f26d901
CVE-2022-3171Проблема синтаксического анализа с двоичными данными в protobuf-java core и lite версиях до 3.21.7, 3.20.3, 3.19.6 и 3.16.3 может привести к атаке типа «отказ в обслуживании». Входные данные, содержащие несколько экземпляров невложенных повторяющихся сообщений с повторяющимися или неизвестными полями, приводят к тому, что объекты преобразуются туда-сюда между изменяемыми и неизменяемыми формами, что приводит к потенциально длительным паузам сборки мусора. Мы рекомендуем обновиться до версий, упомянутых выше.
CVE-2021-22570Разыменование нулевого указателя при наличии нулевого символа в символе proto. Символ анализируется некорректно, что приводит к непроверенному вызову имени файла proto во время создания результирующего сообщения об ошибке. Поскольку символ анализируется некорректно, файл является nullptr. Рекомендуется обновиться до версии 3.15.0 или выше.
CVE-2024-2410Функция JsonToBinaryStream() является частью реализации протокола buffers C++ и используется для анализа JSON из потока. Если входные данные разбиты на отдельные фрагменты определенным образом, анализатор попытается прочитать байты из фрагмента, который уже был освобожден.
CVE-2026-6409Уязвимость отказа в обслуживании (DoS) существует в библиотеке Protobuf PHP во время разбора ненадежного ввода. Злонамеренно структурированные сообщения, в частности те, которые содержат отрицательные вращения или глубокую рекурсию, могут использоваться для сбоя приложения, что влияет на доступность услуг.
CVE-2022-1941Уязвимость парсинга для типа MessageSet в ProtocolBuffers версий до 3.16.1, 3.17.3, 3.18.2, 3.19.4, 3.20.1 и 3.21.5 включительно для protobuf-cpp, и версий до 3.16.1, 3.17.3, 3.18.2, 3.19.4, 3.20.1 и 4.21.5 включительно для protobuf-python может привести к сбоям из-за нехватки памяти. Специально созданное сообщение с несколькими элементами key-value создает проблемы при парсинге и может привести к отказу в обслуживании служб, получающих необработанные входные данные. Рекомендуется выполнить обновление до версий 3.18.3, 3.19.5, 3.20.2, 3.21.6 для protobuf-cpp и 3.18.3, 3.19.5, 3.20.2, 4.21.6 для protobuf-python. Версии для 3.16 и 3.17 больше не обновляются.
CVE-2021-22569Проблема в protobuf-java позволяла чередовать поля com.google.protobuf.UnknownFieldSet таким образом, что они обрабатывались не по порядку. Небольшая вредоносная нагрузка может занять синтаксический анализатор на несколько минут, создавая большое количество кратковременных объектов, которые вызывают частые повторяющиеся паузы. Рекомендуется обновить библиотеки после уязвимых версий.
CVE-2022-3510Проблема синтаксического анализа, аналогичная CVE-2022-3171, но с расширениями типа сообщений в protobuf-java core и lite версиях до 3.21.7, 3.20.3, 3.19.6 и 3.16.3, может привести к атаке типа «отказ в обслуживании». Входные данные, содержащие несколько экземпляров не повторяющихся встроенных сообщений с повторяющимися или неизвестными полями, приводят к преобразованию объектов между изменяемыми и неизменяемыми формами, что приводит к потенциально длительным паузам сборки мусора. Мы рекомендуем обновить версии до указанных выше.
CVE-2022-3509Проблема синтаксического анализа, аналогичная CVE-2022-3171, но с textformat в protobuf-java core и lite версиях до 3.21.7, 3.20.3, 3.19.6 и 3.16.3, может привести к атаке типа «отказ в обслуживании». Входные данные, содержащие несколько экземпляров не повторяющихся встроенных сообщений с повторяющимися или неизвестными полями, приводят к преобразованию объектов между изменяемыми и неизменяемыми формами, что приводит к потенциально длительным паузам сборки мусора. Мы рекомендуем обновить версии до указанных выше.